Troyano bancario Nexus

El troyano bancario Nexus es un tipo de malware móvil que se dirige a los sistemas operativos Android. La amenaza es esencialmente una versión renombrada del troyano bancario SOVA previamente identificado y rastreado. Su principal objetivo es robar información bancaria y financiera de los dispositivos infectados de sus víctimas. Sin embargo, también tiene varias características maliciosas que lo convierten en una amenaza más importante.

Nexus puede realizar acciones como robar credenciales de inicio de sesión para otras aplicaciones, grabar audio y tomar capturas de pantalla. Este tipo de malware también puede realizar funciones de software espía, como acceder a contactos, mensajes y otra información confidencial almacenada en el dispositivo. Como tal, representa una amenaza importante tanto para la privacidad personal como para la ciberseguridad. Los investigadores de Cyble dieron a conocer al público detalles sobre el troyano bancario Nexus Android.

El troyano bancario Nexus recopila información confidencial de los dispositivos infectados

El malware Nexus obtiene el control de los dispositivos de los usuarios al abusar de los Servicios de accesibilidad de Android. Esta característica legítima pretende ser una forma de ayudar a los usuarios a operar más fácilmente sus dispositivos simulando clics, leyendo el texto mostrado, etc. Una vez que el malware se infiltra en un dispositivo (generalmente disfrazado como una aplicación legítima), solicita a los usuarios que habiliten los Servicios de Accesibilidad, que pueden interactuar con la máquina de varias maneras.

Después de obtener el control de los Servicios de accesibilidad, Nexus puede escalar sus privilegios y otorgarse permisos adicionales, incluida la capacidad de evitar que los usuarios deshabiliten los Servicios de accesibilidad y desactivar Google Play Protect y otras medidas de seguridad de contraseñas.

Nexus recopila información diversa del dispositivo, incluido el modelo de teléfono, la versión del sistema operativo, el IMEI, el estado de la batería, la dirección IP (ubicación geográfica), la identificación de la tarjeta SIM, el número de teléfono y los datos de la red móvil. El malware se dirige específicamente a más de cuarenta aplicaciones bancarias populares, verifica la lista de aplicaciones instaladas en el dispositivo y descarga el código de inyección HTML apropiado para cada aplicación bancaria. Este código crea una superposición falsa, que se activa cuando el usuario interactúa con la aplicación bancaria legítima y le solicita que ingrese sus credenciales de inicio de sesión.

Una vez que el usuario ingresa sus credenciales de inicio de sesión, el malware las envía a los atacantes, dándoles acceso a la cuenta bancaria del usuario. Dado que el malware puede evitar que el usuario deshabilite los Servicios de accesibilidad, puede continuar recopilando información confidencial y comprometer el dispositivo del usuario.

El troyano bancario Nexus obtiene el control de los dispositivos vulnerados

El troyano Nexus es un software malicioso que tiene varias funcionalidades que lo ayudan a controlar el contenido confidencial, especialmente las cuentas bancarias. Una de sus habilidades clave es la capacidad de registrar pulsaciones de teclas (keylogging) que se puede usar para capturar credenciales de inicio de sesión y otra información confidencial.

Además, Nexus también puede administrar mensajes SMS, llamadas y notificaciones. Puede leer, interceptar, ocultar, borrar e incluso enviar mensajes de texto a números específicos oa todos los contactos. Esto le permite obtener OTP y 2FA/MFA enviados a través de mensajes de texto, así como información de Google Authenticator.

Nexus también puede realizar llamadas telefónicas sigilosas y reenviarlas, así como alterar la información de contacto. Esto significa que podría usarse para el malware Toll Fraud. Puede enviar mensajes a todos los contactos, lo que podría provocar la proliferación de mensajes SMS no deseados.

Además, el troyano puede gestionar las notificaciones leyendo, interceptando, ocultando e incluso mostrando notificaciones falsas. También puede verificar los procesos en ejecución, eliminar programas, abrir aplicaciones, bloquear/desbloquear el dispositivo, silenciar/activar el sonido, abrir URL a través de navegadores, mostrar superposiciones de alertas del sistema falsas, adquirir listas de cuentas de usuarios y obtener credenciales de inicio de sesión y saldos para billeteras de criptomonedas.

Nexus también puede leer y eliminar archivos del almacenamiento externo conectado, lo que podría usarse para causar infecciones en cadena al inyectar contenido malicioso adicional en los dispositivos. Aunque actualmente parece que se usa principalmente para obtener paquetes de inyección HTML para aplicaciones bancarias, podría alterarse potencialmente para infectar dispositivos con malware adicional, como ransomware.